Von: Dr. Johannes Wiele
Wer mit CRM arbeitet, argwöhnen manche Kritiker dieser Systeme, sei per se der unternehmerischen Datensammelwut verdächtig und bestimmt kein Freund echter Datenschutzbestrebungen. Wahrscheinlich wolle er intime Kundeninformationen en gros verhökern, spätestens im Falle einer Pleite.
Genau so gewichtig ist allerdings das Gegenargument: Wer CRM-Lösungen implementiert, hat zumindest den Wert der von ihm angehäuften Kundendaten erkannt und schickt sich an, sie systematisiert und regelgestützt in seiner IT-Infrastruktur zu verwalten. Genau dies aber macht es viel einfacher, auf die Informationen auch Prinzipien des europäischen Datenschutzrechts anzuwenden.
Die Lösungen stehen zur Verfügung
Das ungeordnete Sammeln von Kundeninfos nämlich findet in jedem Unternehmen statt, welches Rechnungen abheftet, Verträge hortet und E-Mails nicht sofort löscht. Skeptiker, die CRM-Lösungen mit Misstrauen begegnen, verlieren einen datenschutzrechtlich und sicherheitstechnisch relevanten Aspekt häufig aus den Augen: Gerade im Rahmen scheinbar altmodisch-sympathischer Geschäftsbeziehungen, bei denen sich die Repräsentanten der Firmen noch gegenseitig kennen, sammeln einzelne Kundenbetreuer aus eigener Initiative oft eine Menge von Notizen - auf Papier, in Word-Dokumenten, als Anmerkungen zu Bestellungen und so weiter. Da diese Informationen im Netzwerk der Unternehmen normalerweise nicht als sensible Kundendaten gekennzeichnet sind, werden sie nur durch ihre mangelnde Systematik vor unerwünschten Einblicken geschützt. IT-Sicherheitslösungen müssen im CRM-Umfeld also dafür sorgen, dass die Betreiber der Lösungen Datenschutzvorschriften einhalten können. Hinzu kommt der Wert der Daten für das Unternehmen selbst, das seine mühsam zusammengestellten Kundeninfos nicht an die Konkurrenz verlieren will - eine CRM-Datenbank ist sicherlich ein lohnendes Ziel für Industriespionage. Sicherheitslösungen müssen deshalb für CRM folgende Leistungen erbringen:
- Die Lösungen und ihre Datenbanken müssen gegen unberechtigten Zugriff aus dem Internet geschützt werden. Hierzu ist das übliche Arsenal der Unternehmens-Security-Produkte nötig - von der Firewall über den Virenschutz bis hin zu Intrusion Detection. Hinzu kommt als Standard-Anforderung ein ausgereiftes Authentifizierungs- und Autorisierungssystem für die CRM-Anwendung selbst. Authentifizierung stellt fest, welcher Anwender mit dem System arbeiten will, und Autorisierung verwaltet seine Rechte.
- Im Unternehmen dürfen die Kundeninformationen nur denjenigen Mitarbeitern zugänglich sein, die tatsächlich damit arbeiten. Auch diese Anforderung muss im Authentifizierungs- und Autorisierungssystem berücksichtigt sein.
- Neben dem reinen Zugangsschutz für die CRM-Datenbanken ist es eventuell sinnvoll, die Informationen auf den Datenträgern selbst zu verschlüsseln.
CRM verlangt also nicht nach spezifischen Sicherheitslösungen, sondern nach einer speziellen Kombination von Maßnahmen. Für Peter Knapp, Managing Director Deutschland, Spanien und Portugal beim CRM-Anbieter Kana, ist deshalb die Integration eines CRM-Systems in die bestehende IT-Sicherheitsinfrastruktur des jeweiligen Kunden ein wichtiger Aspekt: "Wir müssen zum Beispiel die bestehenden Firewalls unterstützen. Außerdem muss geklärt werden, welche Komponenten jeweils vor oder hinter einer Unternehmensfirewall implementiert sein müssen - bei Banken zum Beispiel, die sich durch mehrstufige Firewallsysteme absichern und darüber hinaus noch Abteilungsfirewalls haben, ist diese Aufgabe recht anspruchsvoll. Wir arbeiten mit einer Web-Architektur und Web-Frontends." Laut Kana erledigen die meisten Anwender die Integration der CRM-Software in die Sicherheitsumgebungen ihrer Netzwerke selbst.
Die Kunden im CRM-Bereich nähern sich laut Kana dem Thema Sicherheit und Datenschutz auf unterschiedliche Weise: "Wir werden mit jeglicher nur denkbaren Haltung zu diesem Thema konfrontiert", erklärt der Manager, "Kunden aus dem Finanzbereich sind oft bestens informiert, planen Sicherheit und Datenschutz gezielt ein und fragen ebenso gezielt nach den Voraussetzungen, die sie für unsere Produkte schaffen müssen. Bei kleinen und mittleren Unternehmen dagegen muss man das Thema oft selbst ansprechen."
Authentifizierung und Autorisierung müssen nach Peter Knapp dem Stand der Technik entsprechen: "Es sollte sich um eine rollengestützte Lösung handeln, damit intern und extern genau und auf einfache Weise festgelegt werden kann, wer mit welchen Kundendaten arbeiten darf."
E-Mail-Sicherheit gewinnt an Bedeutung
Eine wichtige Rolle spielt die Kommunikation mit dem CRM-System. "HTTPS und Login mit Kennwort sind bei Web-gestützten Zugriffen selbstverständlich", erklärt Knapp. Als ein neues, wichtiges Thema betrachtet er Kommunikation per E-Mail, die zum Beispiel bei Callcenter-Einbindungen eine immer größere Rolle spielt. "Dabei muss man nicht nur an die verschiedenen Datenschutzaspekte denken, die beim Sammeln von Kundendaten zu beachten sind", meint der CRM-Spezialist, "man muss auch die Übertragungssicherheit im Griff haben." Kunden, die einem speziellen Unternehmen persönliche Informationen anvertrauen, müssen sicher sein können, dass ihre Daten nicht auch in die Hände anderer Firmen oder Personen gelangen. Kana will sich deshalb in Zukunft intensiv mit dem Thema E-Mail-Verschlüsselung auseinandersetzen.
Obwohl der Anbieter sich selbst sehr intensiv mit der Datenschutz- und Sicherheitsproblematik auseinandersetzt, muss das Unternehmen bei den von seinen Lösungen unterstützten Standard-Datenbanken auf die dort eingebauten Security-Funktionen bauen. Außerdem nutzt die Kana-Software Web-Server auf J2EE-Basis und die dort implementierten Sicherheitsfeatures.
B-to-B hat andere Voraussetzungen als B-to-C
Wolfgang Schwetz, Inhaber des auf CRM spezialisierten Unternehmes Schwetz Consulting, sieht bei Datenschutz und IT-Sicherheit große Unterschiede zwischen dem B-to-B- und dem B-to-C-Bereich. "Unternehmen wie Versandhandelsfirmen, die direkt auf Consumer zugehen und deren Daten speichern, setzen sich fast immer intensiv mit dem Datenschutz und den damit verbundenen IT-Sicherheitsmaßnahmen auseinander", erklärt Schwetz, "Man könnte fast sagen, dass der gesamte moderne Datenschutz bei diesen Firmen in die Lehre gegangen ist, weil man sich dort schon immer mit den Fragen der Speicherung entsprechender Informationen befasst hat". Anders sieht es im B-to-B-Sektor aus, wo der Datenschutz im CRM-Bereich eher lasch gehandhabt wird. "Die Firmen haben dort sehr selten erlebt, dass aus Datenschutzverletzungen Schaden entstanden ist", erklärt Schwetz die Situation. CRM in diesem Bereich ist die moderne Weiterführung der Kontaktpflege von Unternehmensvertreter zu Unternehmensvertreter, die auf persönlicher Bekanntschaft und gegenseitigem Vertrauen beruht. "Hier gibt es höchstens in der Akquisitionsphase Probleme, wenn den Geschäftspartnern erste Informationen und die Erlaubnis zur Speicherung entlockt werden müssen, ohne die Vorgaben des Datenschutzes zu verletzten", meint der Berater.
"Ein interessanter Punkt in diesem Bereich sind die Informationen, die Mitarbeiter auf ihren mobilen PCs ablegen", ergänzt Schwetz. Darunter können sich durchaus Daten wie beispielsweise Geburtstage, Hinweise auf Hobbies befinden, die zur Intimsphäre der jeweiligen Kunden oder Geschäftspartner gehören. "Auch aus diesem Grund sollte man darüber nachdenken, auf Notebooks und anderen tragbaren PCs Datei- oder Laufwerksverschlüsselung einzuführen".